13 апреля злоумышленник украл из DeFi-протокола Yearn Finance криптоактивы на $11,6 млн через эксплойт в контракте стейблкоина платформы — yUSDT.
The loss of today's @iearnfinance yUSDT hack is ~$11.6m.
— PeckShield Inc. (@peckshield) April 13, 2023
As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT — https://t.co/sYuEuiBhAo — to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu
Основной причиной ошибки стала неправильная настройка yUSDT, который представляет собой аналог «стабильной монеты» от Tether.
Согласно информации аналитиков PeckShield, хакер смог выпустить более 1,2 квадриллиона yUSDT используя депозит в 10 000 USDT. После чего он обменял созданные монеты на другие стейблкоины, включая DAI, USDT, USDC, BUSD, TUSD.
Взломщик использовал первую версию протокола Aave для создания большого массива свопов. Однако команда проекта заявила, что сама сеть не пострадала.
We are aware of this transaction, and it did not have an impact on Aave V2 and Aave V3.
— Aave (@AaveAave) April 13, 2023
We are now confirming whether there is any impact on Aave V1, the oldest version of the protocol which has been frozen. We're monitoring the situation closely to ensure no further concerns. https://t.co/uM9wtLNJMl
«Нам известно об этой транзакции, и она не повлияла на Aave V2 и Aave V3. Сейчас мы проверяем, есть ли какое-либо влияние на Aave V1, самую старую версию протокола, которая была заморожена. Мы внимательно следим за ситуацией, чтобы не допустить дальнейших неприятностей», — написали разработчики.
Представители Yearn Finance также сообщили о начале расследования. По их словам, проблема связана «с устаревшим протоколом iearn, запущенным в 2020 году, и пулом ликвидности». Хранилища второй версии платформы находятся в безопасности.
We are aware of an issue that seems isolated to the iearn legacy protocol launched in 2020 and liquidity pool.
— Storm Blessed 0x 🇯🇵 (@storming0x) April 13, 2023
Yearn v2 vaults seem not to be impacted.
Yearn contributors are investigating.
Further comms to follow on main account. https://t.co/CKddWwjFj8
Аналитики Nansen зафиксировали, что хакер уже распределил средства по трем адресам в ETH, DAI, USDC и BUSD.
The yUSDT exploiter has split their funds to 3 addresses with a total amount of $11.3 million in ETH, DAI, USDC, and BUSD
— Nansen Portfolio (@nansenportfolio) April 13, 2023
Check the exploiter's transactions here: https://t.co/Vkctitu6ga pic.twitter.com/T4AuNxaZNg
Напомним, 10 апреля DeFi-протокол Terraport Finance в сети Terra Classic подвергся хакерской атаке на $2 млн спустя десять дней после официального запуска.
В том же месяце аналитики CertiK сообщили, что за первый квартал 2023 года блокчейн-проекты потеряли более $320 млн в результате взломов и мошенничества.